Atacantes exploram ativamente três vulnerabilidades críticas no FortiSandbox da Fortinet, plataforma de análise de ameaças usada por outros produtos de segurança da empresa. A firma de inteligência de ameaças Defused Cyber reportou os ataques em 16 de junho de 2026. As falhas, todas com pontuação CVSS 9.1, permitem bypass de autenticação e execução remota de código sem credenciais.

Plataforma central sob ataque

O FortiSandbox é uma solução de detecção de ameaças avançadas que executa e analisa arquivos suspeitos em ambientes isolados para identificar malware, ransomware e ataques direcionados antes que atinjam a rede corporativa. Outros produtos de segurança da Fortinet dependem dos veredictos gerados pela plataforma para tomar decisões de bloqueio e acionar respostas automatizadas. Comprometer o FortiSandbox significa, na prática, sabotar o cérebro analítico de todo o ecossistema de proteção Fortinet.

Segundo a The Hacker News, a firma Defused Cyber publicou em 16 de junho de 2026 que observou a exploração das três falhas nas 24 horas anteriores. A SecurityWeek confirmou de forma independente que a empresa KEVIntel também detectou ataques contra as mesmas vulnerabilidades em honeypots próprios. A Fortinet ainda não confirmou oficialmente a exploração em ambiente real, mas todas as três falhas já possuem correção disponível.

Detalhes das três falhas

As três vulnerabilidades compartilham uma característica perigosa: podem ser exploradas por atacantes não autenticados mediante requisições HTTP especialmente criadas. A Qualys ThreatPROTECT classificou todas como de severidade crítica, com pontuação CVSS 9.1.

CVE Tipo de vulnerabilidade Vetor Versões afetadas Versão corrigida
CVE-2026-39813 Path traversal (JRPC API) Bypass de autenticação 5.0.0–5.0.5; 4.4.0–4.4.8 5.0.6; 4.4.9
CVE-2026-39808 Injeção de comando OS Execução de código remoto Versões anteriores a abril/2026 Corrigida em abril de 2026
CVE-2026-25089 Injeção de comando OS (Web UI) Execução de comandos remotos 4.4.0–4.4.8 4.4.9

A CVE-2026-39813 consiste em uma falha de path traversal na API JRPC do FortiSandbox. Um atacante não autenticado pode manipular caminhos de arquivos em requisições HTTP para contornar a autenticação e acessar o sistema. A CVE-2026-39808 é uma vulnerabilidade de injeção de comando do sistema operacional que permite executar código arbitrário sem credenciais. Já a CVE-2026-25089, divulgada mais recentemente, afeta a interface web do FortiSandbox, do FortiSandbox Cloud e do FortiSandbox PaaS, e também permite a execução de comandos não autorizados.

Cronologia da exploração

  • Abril de 2026 — Fortinet publica correções para CVE-2026-39813 e CVE-2026-39808, ambas detalhadas nos avisos FG-IR-26-100 e FG-IR-26-112.
  • ~11 de junho de 2026 — Fortinet corrige CVE-2026-25089 como parte do Patch Tuesday de junho, no aviso FG-IR-26-141. A descoberta é creditada a Adham El Karn, da equipe de segurança de produtos da Fortinet.
  • 12 de junho de 2026 — KEVIntel observa exploração de CVE-2026-39808 em honeypots.
  • 15 de junho de 2026 — Defused e KEVIntel detectam ataques contra CVE-2026-39813.
  • 16 de junho de 2026 — Defused Cyber publica alerta público sobre a exploração ativa das três vulnerabilidades.

Exploit gerado por IA

Um detalhe chamou a atenção dos pesquisadores: o exploit para a CVE-2026-25089 apresenta sinais claros de ter sido desenvolvido com auxílio de um modelo de inteligência artificial. A Help Net Security relatou que o código do exploit é “vibecoded”, termo usado para descrever programas criados por IA com mínima intervenção humana, e provavelmente defeituoso. Um exploit funcional para essa vulnerabilidade ainda não foi divulgado publicamente.

O episódio ilustra uma tendência preocupante. Com a IA reduzindo a barreira técnica para desenvolvimento de exploits e acelerando a pesquisa de vulnerabilidades, atacantes tendem a ampliar o escopo de falhas que tentam explorar. Produtos que historicamente não eram alvos frequentes, como o FortiSandbox, passam a entrar no radar de grupos maliciosos.

Fortinet sob pressão crescente

A exploração do FortiSandbox ocorre no contexto de uma ofensiva mais ampla contra dispositivos Fortinet. Em paralelo, a firma SOCRadar revelou a campanha “FortiBleed”, na qual atores de ameaças comprometeram mais de 30.000 firewalls Fortinet em 194 países. A análise posterior da Hudson Rock elevou o número para 73.932 URLs únicos de firewalls afetados.

Segundo a SOCRadar, o grupo mantém um banco de dados com credenciais verificadas de dispositivos pertencentes a bancos, operadoras de telecomunicações, hospitais, universidades e órgãos governamentais. Os atacantes interceptam autenticações SSL-VPN, quebram hashes em um cluster de 45 GPUs gerenciado via Hashtopolis e usam as credenciais obtidas para comprometer dispositivos adicionais. A campanha afetou empresas como Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture e Oracle.

O que fazer agora

Administradores que utilizam FortiSandbox devem atualizar imediatamente para as versões corrigidas. Para a linha 5.0, a versão segura é a 5.0.6. Para a linha 4.4, a versão segura é a 4.4.9. Ambas corrigem as três vulnerabilidades. Ambientes que utilizam FortiSandbox Cloud ou PaaS devem verificar se o provedor já aplicou as correções automáticas.

Como medida complementar, recomenda-se restringir o acesso administrativo às interfaces web e à API JRPC apenas a redes confiáveis, monitorar logs em busca de requisições HTTP anômalas e auditar sistemas que dependem de veredictos do FortiSandbox para garantir que não tenham sido adulterados. A verificação pode ser feita com as ferramentas da Qualys (QIDs 733996, 734396, 733994 e 734082) ou com scanners de vulnerabilidade padrão.

Organizações com firewalls Fortinet expostos à internet também devem rotatear credenciais de administrador, verificar configurações de SSL-VPN e aplicar os patches mais recentes do FortiOS, dado o cenário de exploração ativa documentado pela campanha FortiBleed.

Fontes e referências